Cyberlégislation

Selon The Record, le département du Trésor des États-Unis a annoncé de nouvelles sanctions ciblant des acteurs clés liés au schéma de la Corée du Nord visant à faire embaucher ses citoyens comme travailleurs IT au sein d’entreprises américaines. L’annonce met l’accent sur la poursuite de ce dispositif nord-coréen, présenté comme une opération organisée et en cours, et précise que les nouvelles mesures visent les personnes ou entités jouant un rôle central dans ce réseau. ...

Contexte: NZZ rapporte qu’un arrêt de l’Obergericht (cour cantonale) de Zurich a déclaré les messages interceptés du service chiffré Sky ECC « absolument » inexploitables comme preuves en Suisse. ⚖️ L’arrêt constitue la première décision de deuxième instance en Suisse sur la recevabilité des données Sky ECC. Selon la cour, le procédé d’enquête a violé le principe de territorialité et, partant, la souveraineté et l’intégrité territoriale de la Suisse, relevant d’une atteinte au droit international. La règle d’exception permettant l’usage de preuves illicites pour élucider des crimes graves ne s’applique pas ici, d’après le jugement. ...

Source et contexte: RISCS (Research Institute for Sociotechnical Cyber Security) publie une analyse d’Andrew Dwyer sur la deuxième conférence du Pall Mall Process (Paris, avril 2025), initiative lancée en 2024 par le Royaume‑Uni et la France pour freiner la prolifération et l’usage irresponsable des capacités d’intrusion commerciales (CCICs). Le texte rappelle que les CCICs (de la découverte de zero-days à la vente d’outils et services) alimentent à la fois des usages légitimes et illégitimes. Si l’attention médiatique s’est concentrée sur le spyware (ex. Pegasus/NSO Group), l’écosystème est plus large et rend les interdictions totales irréalistes, d’autant que de nombreux États n’ont pas de capacités « in‑house ». ...

Selon FRANCE 24 (avec AFP), les autorités russes annoncent des restrictions partielles des appels sur WhatsApp et Telegram, justifiées par la lutte contre la criminalité en ligne. L’autorité de régulation Roskomnadzor affirme que ces messageries sont devenues « les principaux services vocaux » utilisés pour la fraude et l’extorsion, et pour impliquer des citoyens russes dans des activités subversives et terroristes. Les services de sécurité russes ont à plusieurs reprises soutenu que l’Ukraine utiliserait Telegram pour recruter ou mener des actes de sabotage en Russie. ...

Selon The Record (therecord.media), la plus haute juridiction allemande a jugé que les forces de l’ordre ne peuvent pas utiliser des logiciels espions pour surveiller des appareils personnels lorsque l’infraction visée est punie de moins de trois ans d’emprisonnement. Cette décision répond à un recours de l’association de défense des libertés numériques Digitalcourage. ⚖️ Le tribunal a estimé que la modification de 2017 du code de procédure pénale, qui permettait aux enquêteurs d’écouter des discussions chiffrées et des messageries, n’était pas suffisamment précise quant aux conditions d’usage des outils de spyware. La Cour précise que ces outils ne sont appropriés que dans des enquêtes sur des affaires sérieuses. ...

Selon un article de Computer Weekly, le gouvernement autrichien a réussi à faire passer une loi autorisant le déploiement de logiciels espions par les services de renseignement pour surveiller les communications chiffrées sur des plateformes comme WhatsApp et Signal. La loi, adoptée le 9 juillet 2025, modifie plusieurs législations, notamment la loi sur la protection de l’État et le renseignement, pour permettre à la Direction de la protection de l’État et du renseignement (DSN) d’utiliser des ’trojans d’État’ pour intercepter des messages chiffrés. ...

L’article publié sur le média italien specialisé cybersecurity360.it le 31 juillet 2025 met en lumière l’urgence pour les entreprises éuropéennes de se conformer aux exigences de la directive NIS2, notamment en ce qui concerne la notification des incidents de cybersécurité. Contexte : La directive NIS2 de l’Union Européenne vise à renforcer la sécurité des réseaux et de l’information à travers l’Europe. Les entreprises doivent soumettre leurs informations sur le portail ACN avant la date butoir de janvier pour être en conformité avec les nouvelles règles. ...

Cet article publié sur le site SafeBreach explique les nouvelles exigences imposées par l’Acte de Résilience Opérationnelle Numérique (DORA) de l’Union Européenne, qui vise à renforcer la résilience opérationnelle des institutions financières contre les menaces cybernétiques. La mise en application complète de cette réglementation commence en janvier 2025. DORA impose aux organisations de mettre en place des contrôles basés sur cinq piliers clés : la gestion des risques TIC, le rapport d’incidents, les tests de résilience opérationnelle, la gestion des risques tiers, et le partage d’informations. Ces mesures s’appliquent globalement, affectant toute entité fournissant des services TIC aux entreprises financières de l’UE. ...

L’article publié par South China Morning Post (scmp.com) rapporte que la Chine a officiellement introduit un système national de cyber-identification controversé. Ce système a pour objectif de protéger la sécurité des informations d’identité des citoyens. Il est soutenu par le Ministère de la Sécurité Publique, l’Administration du Cyberespace de Chine, ainsi que quatre autres autorités. Le système utilise une application qui génère une identification virtuelle chiffrée composée de lettres et de chiffres aléatoires, permettant ainsi de ne pas divulguer le nom réel et le numéro d’identification des utilisateurs lors de la vérification des comptes en ligne. Actuellement, l’utilisation de cette cyber-identification n’est pas obligatoire pour les utilisateurs d’internet. ...

L’article de theregister.com rapporte une audition devant le Sénat français où des représentants de Microsoft ont discuté des implications du Cloud Act américain sur la souveraineté des données en France et dans l’Union européenne. Lors de cette audition, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a déclaré que Microsoft ne peut pas garantir que les données des clients en France ne seront pas transmises au gouvernement américain si celui-ci en fait la demande en vertu du Cloud Act. Ce dernier permet au gouvernement des États-Unis d’obtenir des données numériques détenues par des entreprises américaines, même si elles sont stockées à l’étranger. ...